vserver nur per FTP und SSH erreichbar

W

wolle29blau

Registered User
Hallo,

ich habe folgendes Problem.
Ich habe einen vserver auf dem nur ein Board läuft.
Nach einigen Problemen mit einen User war die Seite nicht mehr erreichbar, aber ich bin per SSH und FTP noch drauf gekommen. Da ich aber absolut keine Ahnung habe von vservern, weis ich jetzt nicht was ich hier für Angaben machen soll! So das ihr mir vielleicht helfen könnt.
Da dies auch ein Sicherheitsrisiko ist denke ich mal, sollte ich wohl lieber Webspace hernehmen anstatt einen vserver oder passiert mir sowas auch dort.
Ich weis auch nicht direkt wonach ich suchen soll, das ich wenigstens ein bisschen in die materie einsteige und das board nicht zu lange off ist. Weil passieren kann mir das doch immer!

gruß,
wolle29blau
 
Hallo,

wolle29blau said:
Nach einigen Problemen mit einen User war die Seite nicht mehr erreichbar
Click to expand...
was meinst Du damit, technische Probleme mit einem Useraccount oder menschliche Probleme die den User zum Hacken motiviert haben könnten?
aber ich bin per SSH und FTP noch drauf gekommen.
Click to expand...
Dann versuche einfach mal den Apache wieder zu starten und schalte im Board die Avatar-Funktion (und eventuelle weitere Bildhochlademöglichkeiten) ab, da gibt's einen Bug daß man mit manipuliertem Bild den Webserver abschießen kann.
weis ich jetzt nicht was ich hier für Angaben machen soll!
Click to expand...
Betriebssystem (Suse, Debian)?
Welche Dienste laufen noch außer SSH und FTP?

Da dies auch ein Sicherheitsrisiko ist denke ich mal, sollte ich wohl lieber Webspace hernehmen anstatt einen vserver oder passiert mir sowas auch dort.
Click to expand...
Board hacken geht auch auf Webspace.

Starte einfach mal den Apache neu (um den Befehl anzugeben mußt Du das Betriebssystem verraten) und schau was passiert.
 
Also es waren menschliche Probleme, wurden auch Erpressungen versucht
Mitlerweile habe ich die Seite off genommen.

Was alles auf den Server läuft weis ich net, hab da nicht rumgespielt seit ich ihn bekommen habe.
Auf den Server läuft Linux

Wo dies mit der Seite passiert ist, bin ich nicht mel in den Confixx gekommen, egal welche Seite ich hernehmen wollte es ging einfach nicht!
Es kahmen auch keine Fehlermeldungen, Der Webrowser hat nur versucht zu laden und das sehr sehr lange und irgendwann hat er es abgebrochen. Was mich halt gewundert hat, war das FTP und die SSH Konsole ging!
Egal ob ich den Server neu startete oder Apache, es hat nichts geholfen!!!
 
Hallo,

wolle29blau said:
Also es waren menschliche Probleme
Click to expand...
dann kann natürlich sein daß er irgendwie versucht hat das Board zu stören, zumal es zeitlich zusammenfällt.
Was alles auf den Server läuft weis ich net, hab da nicht rumgespielt seit ich ihn bekommen habe.
Click to expand...
Schau nach, was jetzt noch läuft.
Code: 
ps aux
oder vom PC aus einen Portscan auf Deine IP machen.
Auf den Server läuft Linux
Click to expand...
Welches? Suse 9.0,9.1, ... 10.1, Debian 3.0, 3.1, woody, sarge? Es gibt natürlich noch mehr.
Wo dies mit der Seite passiert ist, bin ich nicht mel in den Confixx gekommen, egal welche Seite ich hernehmen wollte es ging einfach nicht!
Click to expand...
Dir wurde der Apache abgeschossen. Das geht bei einem Board eben auch ohne daß man richtig in den Server einbricht.

Allerdings sollte der Apache wieder gestartet werden können und dann zumindest solange laufen wie das Board nicht aufgerufen wird.

Apache neu starten und Logfiles lesen (/var/log/apache/error.log oder ähnlich).

Was mich halt gewundert hat, war das FTP und die SSH Konsole ging!
Click to expand...
Warum wundert Dich das? Die Dienste sind weitgehend unabhängig voneinander.

Egal ob ich den Server neu startete oder Apache, es hat nichts geholfen!!!
Click to expand...
Aber es werden Logfileeinträge produziert, die mußt Du suchen, notfalls alle Logfiles lesen. :D
 
Code: 
USER       PID %CPU %MEM    VSZ   RSS TTY      STAT START   TIME COMMAND
root         1  0.0  0.0   1584   476 ?        S    Jun21   0:12 init [2]
root     18895  0.0  0.0   1632   532 ?        Ss   Jun21   0:03 /sbin/syslogd
clamav   18908  0.0  0.9  38012  9608 ?        Ss   Jun21   0:27 /usr/sbin/clamd
root     18913  0.0  0.0   1752   308 ?        S    Jun21   0:00 /usr/sbin/courierlogger -pid=/var/run/courier/a
root     18914  0.0  0.0   1872   436 ?        S    Jun21   0:00 /usr/lib/courier/authlib/authdaemond.plain
root     18918  0.0  0.0   1872   180 ?        S    Jun21   0:00 /usr/lib/courier/authlib/authdaemond.plain
root     18921  0.0  0.0   1856   452 ?        S    Jun21   0:00 /usr/sbin/couriertcpd -address=0 -stderrlogger=
root     18923  0.0  0.0   1756   460 ?        S    Jun21   0:00 /usr/sbin/courierlogger imaplogin
root     18929  0.0  0.0   1852   412 ?        S    Jun21   0:00 /usr/sbin/couriertcpd -pid=/var/run/courier/pop
root     18931  0.0  0.0   1752   412 ?        S    Jun21   0:00 /usr/sbin/courierlogger courierpop3login
102      19069  0.0  0.1   8672  1968 ?        Ss   Jun21   0:00 /usr/sbin/exim4 -bd -q30m
root     19075  0.0  0.0   1616   448 ?        Ss   Jun21   0:00 /usr/sbin/inetd
root     19090  0.0  0.1   2632  1040 ?        S    Jun21   0:00 /bin/sh /usr/bin/mysqld_safe
root     19166  0.0  0.0   1828   696 ?        Ss   Jun21   0:00 /usr/sbin/cron
root     20074  0.0  0.0   3548   872 ?        Ss   Jun21   0:04 /usr/sbin/sshd
mysql    17063  0.1  1.1  31060 12184 ?        Sl   Jun25  18:17 /usr/sbin/mysqld --basedir=/usr --datadir=/var/
root     17064  0.0  0.0   1568   436 ?        S    Jun25   0:00 logger -p daemon.err -t mysqld_safe -i -t mysql
root     29989  0.0  0.1  23836  1780 ?        Ss   Jun29   0:00 /usr/sbin/spamd --create-prefs --max-children 1
root     29990  0.0  0.0  23836   556 ?        S    Jun29   0:00 spamd child
root     14205  0.0  0.9  22352 10104 ?        S    06:58   0:00 apache start
root      7307  0.0  0.1   4904  1452 ?        S    22:05   0:00 /usr/bin/perl /root/confixx/pipelog.pl
www-data  7308  0.0  1.0  25260 10740 ?        S    22:05   0:02 apache start
www-data  7591  0.0  1.0  25348 10700 ?        S    22:07   0:02 apache start
www-data 11961  0.0  1.0  25448 10792 ?        S    22:22   0:02 apache start
root     21818  0.0  0.1  14528  1984 ?        Ss   22:58   0:00 sshd: root@pts/1
root     21847  0.1  0.2   5308  2528 pts/1    Ss   22:58   0:00 -bash
www-data 22618  0.0  0.5  22368  6136 ?        S    23:00   0:00 apache start
www-data 22620  0.0  0.4  22352  4808 ?        S    23:00   0:00 apache start
www-data 22621  0.0  0.4  22352  4808 ?        S    23:00   0:00 apache start
root     22944  0.0  0.0   4216   908 pts/1    R+   23:00   0:00 ps aux

Oki, also was da drauf läuft für ein System hab ich aus der PHP Info file, aber wenn ich in die SSH Konsole gehe sagt er was mit Debian, aber welche Version keine Ahnung! *grmpf*
Ich hoffe auch das du das haben wolltest was da oben nun steht :(
Also das Board wurde darauf hin gestört er hat es ja immer wieder versucht und ich habe dann die Seite off genommen. Nun habe ich natürlich Angst das es wieder passieren kann! Wie man nun logfiles liest weis ich ja auch nicht. Sorry hmmmm, ich versuche nur rauszubekommen was das war und vielleicht auch eine Lösung zu finden das man sich dagegen schützen kann!
 
Hallo,

wolle29blau said:
www-data 7308 0.0 1.0 25260 10740 ? S 22:05 0:02 apache start
Click to expand...

wie man in der Liste sieht laufen die anderen Dienste, Du hast ein reines Apacheproblem.

man sollte einen Dienst niemals starten (außer man ist ganz sicher daß er nicht läuft) sondern immer restart nehmen, außerdem müssen Dienste über ein Startscript gestartet werden, nicht direkt.

Erstmal müssen die Fehlversuche beendet werden, am einfachsten indem Du den kompletten Vserver neu startest. Das geht irgendwie über das Kundenmenü des Providers (bei jedem anders), nicht auf dem Vserver selbst.

Wenn er frisch gestartet ist versuche Confixx aufzurufen (nicht das Forum!), wenn es nicht funktioniert Logfiles lesen.

Apache neu starten geht korrekt so:
/etc/init.d/apache restart
/etc/init.d/apache2 restart
Click to expand...
eine der beiden Zeilen ist die richtige, ausprobieren.

Debian, aber welche Version keine Ahnung!
Click to expand...
Reicht mal für's erste.

Wie man nun logfiles liest weis ich ja auch nicht.
Click to expand...
Man öffnet sie und guckt rein.*SCNR*

Du kannst einen Editor verwenden, z.B. den immer installierten vi der grausam zu bedienen ist oder bequemer den meistens nicht installierten mc der aber etwas Einarbeitung erfordert.

Am einfachsten läßt Du es einfach mit cat durchrauschen und hast dann das Ende des Logfiles im Putty.

Die Logfiles liegen in /var/log, dort vermutlich ein Ordner apache oder apache2, in dem sind die wichtigsten Logs drin (auf Confixx-Systemen aber nicht alle).

Code: 
cd /var/log
ls -al
nach apache bzw apache2 gucken
Code: 
cd apache(2)
ls -al
da ist was mit error dabei, vermutlich error.log oder error_log
das läßt Du mit cat anzeigen
Code: 
cat error.log
oder
cat error_log
und kopierst die Ausgabe in's Forum.

ich versuche nur rauszubekommen was das war und vielleicht auch eine Lösung zu finden das man sich dagegen schützen kann!
Click to expand...
Indem man sich Grundlagenwissen aneignet.:)
 
Hi,

da ich leider arbeiten muss, kommt meine Antwort zu spät und ich hoffe das du mir trotzdem nochmals antwortest. ;)
Oki, also ich glaube du hast mich ein wenig missverstanden.
Mitlerweile läuft wieder das Board und auch der Apache läuft.
Ich wollte nur rausfinden, was das genau gewesen ist, warum man bei den (vielleicht) Angriff nicht auf die Seite zugreifen konnte. Die Logfiles sind auch sehr lang und ich kann leider nicht alles lesen. Den vserver, hab ich nun im Kundenmenü gestoppt und wieder gestartet! Aber die logs jetzt hier reinkopieren, denke ich mal wären wohl zu lang!

Gruß,
wolle29blau
 
Hallo,

wolle29blau said:
Mitlerweile läuft wieder das Board und auch der Apache läuft.
Click to expand...
schön. :)
Ich wollte nur rausfinden, was das genau gewesen ist, warum man bei den (vielleicht) Angriff nicht auf die Seite zugreifen konnte.
Click to expand...
Weil der Apache abgeschossen bzw gehangen war.

Wenn es das Problem ist das ich vermute nützen Dir die Logs nur etwas wenn man sie direkt nach dem Apachetod lesen kann und nicht mit weiteren Einträgen drin, weil dann das Problem in den letzten Logeinträgen steht. Da der Server vermutlich einige Stunden ausgefallen war kannst Du jetzt noch nach dieser Lücke in den Logs gucken, es interessieren dann die letzten Zeilen vor der Zeitlücke.

Ich vermute, es wurde dies hier angewendet

Server-Killer mit Avatar-Grafik

securityfocus.com hat einen schwerer Fehler in der gdLibrary 2.0.33 gefunden: Ein Fehler im LZW-Decomprimierer (z.B. für das GIF-Format) kann eine manipulierte Datei den Webserver in eine Endlosschleife schicken und damit unerreichbar werden. Da in den meisten Foren individuelle Avatare...
serversupportforum.de
weil es einfach und schnell geht. Erste Hilfe gegen Ausnutzung des Bugs wäre das Hochladen von Avataren und sonstigen Dateien im Forum abzuschalten.
 
Oki, das hört sich schon mal sehr gut an.
Nun habe ich noch 2 Fragen!

1. Wie kann ich herrausfinden, welche GDLib drauf ist?
2. Wie kann ich mir die gesammten Logs anschauen, weil er ja soviel auswirft das ich net alles lesen kann!

Gruß,
SuperAsti
 
Hallo,

1) phpinfo

Code: 
<?php phpinfo(); ?>
als blabla.php hochladen und mit dem Browser aufrufen, nach gd suchen.

2) Um's Lesen und Durchwühlen wirst Du nicht rum kommen, aber mit einem brauchbaren Editor geht's bequemer, Empfehlung mc

Code: 
apt-get install mc
mc
Mit den Pfeiltasten rauf und runter geht's durch die Liste, mit F3 wird ein Verzeichnis gewählt sowie eine Datei geöffnet, mit F10 die Datei geschlossen bzw das Programm beendet. Wechsel rechtes / linkes Fenster mit TAB.
 
Code: 
[Sun Jun 25 17:13:01 2006] [error] [client 84.157.210.135] File does not exist: /var/www/web1/html/board/images/blue-fusion/back.gif
[Sun Jun 25 17:14:07 2006] [notice] child pid 15165 exit signal Segmentation fault (11)
[Sun Jun 25 17:14:09 2006] [notice] child pid 26429 exit signal Segmentation fault (11)
[Sun Jun 25 17:14:09 2006] [notice] child pid 30604 exit signal Segmentation fault (11)
[Sun Jun 25 17:14:09 2006] [notice] child pid 7678 exit signal Segmentation fault (11)
[Sun Jun 25 17:14:09 2006] [notice] child pid 26356 exit signal Segmentation fault (11)
[Sun Jun 25 17:14:09 2006] [notice] child pid 15173 exit signal Segmentation fault (11)
[Sun Jun 25 17:14:09 2006] [notice] child pid 15468 exit signal Segmentation fault (11)
[Sun Jun 25 17:14:09 2006] [notice] child pid 15469 exit signal Segmentation fault (11)
[Sun Jun 25 17:14:09 2006] [notice] child pid 16563 exit signal Segmentation fault (11)
[Sun Jun 25 17:14:10 2006] [notice] child pid 1683 exit signal Segmentation fault (11)
[Sun Jun 25 17:14:10 2006] [notice] child pid 1696 exit signal Segmentation fault (11)
[Sun Jun 25 17:14:10 2006] [notice] child pid 1715 exit signal Segmentation fault (11)
[Sun Jun 25 17:14:10 2006] [notice] child pid 4853 exit signal Segmentation fault (11)
[Sun Jun 25 17:14:10 2006] [notice] child pid 1412 exit signal Segmentation fault (11)
[Sun Jun 25 17:14:10 2006] [notice] child pid 9109 exit signal Segmentation fault (11)
[Sun Jun 25 17:14:10 2006] [notice] child pid 15142 exit signal Segmentation fault (11)
[Sun Jun 25 17:14:10 2006] [notice] child pid 21117 exit signal Segmentation fault (11)
[Sun Jun 25 17:14:10 2006] [notice] child pid 27483 exit signal Segmentation fault (11)
[Sun Jun 25 17:14:10 2006] [notice] child pid 10118 exit signal Segmentation fault (11)
[Sun Jun 25 17:14:10 2006] [notice] child pid 15060 exit signal Segmentation fault (11)
[Sun Jun 25 17:14:10 2006] [notice] child pid 15170 exit signal Segmentation fault (11)
[Sun Jun 25 17:14:10 2006] [notice] child pid 15171 exit signal Segmentation fault (11)
[Sun Jun 25 17:14:10 2006] [notice] child pid 15186 exit signal Segmentation fault (11)
[Sun Jun 25 17:14:10 2006] [notice] child pid 15216 exit signal Segmentation fault (11)
[Sun Jun 25 17:14:10 2006] [notice] child pid 15248 exit signal Segmentation fault (11)
[Sun Jun 25 17:14:10 2006] [notice] child pid 15467 exit signal Segmentation fault (11)
[Sun Jun 25 17:14:10 2006] [notice] child pid 15473 exit signal Segmentation fault (11)
[Sun Jun 25 17:14:10 2006] [notice] child pid 15479 exit signal Segmentation fault (11)
[Sun Jun 25 17:14:10 2006] [notice] child pid 16500 exit signal Segmentation fault (11)
[Sun Jun 25 17:14:10 2006] [notice] child pid 16504 exit signal Segmentation fault (11)
[Sun Jun 25 17:14:10 2006] [notice] child pid 16556 exit signal Segmentation fault (11)
[Sun Jun 25 17:14:10 2006] [notice] child pid 16558 exit signal Segmentation fault (11)
[Sun Jun 25 17:14:10 2006] [notice] child pid 16630 exit signal Segmentation fault (11)
[Sun Jun 25 17:14:10 2006] [notice] child pid 16670 exit signal Segmentation fault (11)
[Sun Jun 25 17:14:10 2006] [notice] child pid 16672 exit signal Segmentation fault (11)
[Sun Jun 25 17:14:10 2006] [notice] child pid 16675 exit signal Segmentation fault (11)
[Sun Jun 25 17:14:10 2006] [notice] child pid 16708 exit signal Segmentation fault (11)
[Sun Jun 25 17:14:10 2006] [notice] child pid 16741 exit signal Segmentation fault (11)
[Sun Jun 25 17:14:10 2006] [notice] child pid 16675 exit signal Segmentation fault (11)
[Sun Jun 25 17:14:10 2006] [notice] child pid 16708 exit signal Segmentation fault (11)
[Sun Jun 25 17:14:10 2006] [notice] child pid 16741 exit signal Segmentation fault (11)
[Sun Jun 25 17:14:11 2006] [notice] child pid 4246 exit signal Segmentation fault (11)
[Sun Jun 25 17:14:11 2006] [notice] child pid 15167 exit signal Segmentation fault (11)
[Sun Jun 25 17:14:11 2006] [notice] child pid 15477 exit signal Segmentation fault (11)
[Sun Jun 25 17:14:11 2006] [notice] child pid 16499 exit signal Segmentation fault (11)
[Sun Jun 25 17:14:11 2006] [notice] child pid 16562 exit signal Segmentation fault (11)
[Sun Jun 25 17:14:11 2006] [notice] child pid 16671 exit signal Segmentation fault (11)
[Sun Jun 25 17:16:19 2006] [crit] (98)Die Adresse wird bereits verwendet: make_sock: could not bind to port 443
[Sun Jun 25 17:19:58 2006] [error] [client 83.135.69.12] File does not exist: /var/www/web1/html/board/images/blue-fusion/back.gif


So das habe ich gefunden zu der Zeit wo man nicht mehr auf die Seite gekommen ist!
THX für den Hinweis, jetzt ist das arbeiten auch ein wenig einfacher dran. ;)
 
Hallo,

die Segmentation-fault-Zeilen sind nicht weiter interessant, zeigen nur daß der Apache sich ganz gewaltig verschluckt hat.

wolle29blau said:
/var/www/web1/html/board/images/blue-fusion/back.gif
Click to expand...
Gibt es diese Datei?
Was bedeutet der Ordner blue-fusion bei der Boardsoftware, ist das ein Skin, ein Username?
 
MOD: Full-Quote entfernt!

Na eigentlich gibt es die Datei nicht.
Das ist ein Style für das Board!
 
Last edited by a moderator:
Hallo,

dann ist die Meldung ohne Bedeutung.

Bleibt nur aus den anderen Zeilen daß der Apache sich gewaltig verschluckt hat, dazu reicht bei Vservern und kleinen Dedicated ein DOS-Angriff den man von einem PC über DSL starten kann.l

Ich hatte mal einen Dedicated mit 1200 MHz und 256 MB RAM erfolgreich abgeschlossen (zum Testen, es war mein eigener) indem ich in mehreren Browserfenstern PHP-Seiten geladen hatte und schnell reihum imer wieder auf NeuLaden geklickt.

Vielleicht war auch bei Dir nix anderes los, entweder ein User mit Absicht oder es war zufällig einfach mal zu viel los im Forum für das System.

Mehr als Vermuten kann ich nicht wenn die Logs sonst nix hergeben.
 
Kurz anmerken möchte ich, dass es im Grunde grob fahrlässig ist, einen schlecht bis gar nicht administrierten Vserver/RootDS/Rootserver im Internet rumhängen zu lassen. Damit stehen die Rechner SPERRANGELWEIT offen für diverse Hacks und sind logischerweise dank ihrer guten Anbindung ein lohnendes Ziel für Hacker, Defacer, etc.

Solltest Du KEINE Linuxkenntnisse besitzen muss ich Dir leider die Eignung zum Administrieren eines Linuxservers absprechen. Im Prinzip ist das wie Autobahnfahren ohne Führerschein. BITTE ändere das oder nimm Dir Webspace. Ein guter Platz zum Starten ist z.B. www.linuxfibel.de .

Das soll kein Angriff sein, nur ein Ratschlag und zu Deinem eigenen besten.

Gruß
Thunda
 
Du wenn Dir jemand wirklich via ACP ne Shell reingedrückt hat und dann siehst Du es auf jedenfall in deiner log Datei.

Ich habe das selbst schon getestet und geschaut wie und wo , nur leider ist es so das je nach dem was auf deiner kiste auch noch läuft der Haxor auch vieleicht auch dein root PW hat.

Selbst wenn Du Safemod u.s.w anhast - kannst Du immer noch andere lücken Nutzen um dich dadran vorbei zu schleichen.

Ist nicht ohne das ganze

Classics
 
You must log in or register to reply here.
Back
Top